Konfiguracja Cisco ASA NetFlow przy użyciu ASDM

w ciągu ostatnich kilku tygodni otrzymałem wiele telefonów od klientów, którzy szukali pomocy w konfiguracji Cisco ASA NetFlow przy użyciu ASDM. Pomyślałem więc, że skorzystam z okazji, aby napisać bloga, przechodząc przez kroki konfiguracji, aby uzupełnić istniejące blogi, które pokazują wideo lub mają serię obrazów.

moim zdaniem najłatwiej uzyskać eksport NSEL z tych urządzeń bezpieczeństwa poprzez użycie interfejsu ASDM. To proste, oparte na GUI narzędzie do zarządzania zaporą sieciową pozwala szybko skonfigurować Cisco ASA bez konieczności korzystania z uciążliwego interfejsu wiersza poleceń. Chociaż muszę przyznać, że konfigurowanie Cisco ASA za pomocą CLI tak naprawdę nie różni się tak bardzo, jak konfigurowanie NetFlow na dowolnym innym routerze lub przełączniku.

więc przejdźmy przez kroki, aby włączyć NetFlow za pomocą ASDM

aby włączyć NetFlow, wykonaj następujące kroki po zalogowaniu się do ASDM:

  • wybierz konfigurację > Zarządzanie urządzeniami > Logowanie > NetFlow.

Konfiguracja ASDM NetFlow

  • wprowadź częstotliwość Timeoutu szablonu, która jest interwałem (w minutach), przy którym rekordy szablonu są wysyłane do wszystkich skonfigurowanych kolektorów. Zalecamy 1 minutę.
  • wprowadź interwał aktualizacji przepływu, który określa interwał czasu między zdarzeniami aktualizacji przepływu w minutach. Prawidłowe wartości wynoszą od 1 do 60 minut. Domyślną wartością jest 1 minuta. Ta opcja jest dostępna w wersji 8.4.5 i nowszej 9.x releases.
  • zaznacz pole wyboru opóźnienie transmisji zdarzeń tworzenia przepływu dla przepływów krótkotrwałych.
  • następnie wprowadź liczbę sekund (zwykle 15) w polu opóźnienie po, aby opóźnić eksport zdarzeń tworzenia przepływu i przetworzyć pojedyncze zdarzenie usuwania przepływu zamiast zdarzenia tworzenia przepływu i zdarzenia usuwania przepływu.

jeśli to nie jest skonfigurowane, nie ma opóźnienia, a Zdarzenie Flow-create jest eksportowane natychmiast po utworzeniu przepływu. Odkryłem, że jeśli to nie jest ustawione, nie otrzymujemy rozszerzonego zdarzenia teardown, a rekordy teardown nie zawierają elementów nazwy użytkownika. Jeśli przepływ zostanie zerwany przed ustawionym opóźnieniem, Zdarzenie Flow-create nie zostanie wysłane; zamiast tego wysyłane jest Zdarzenie rozszerzonego przerwania przepływu.

  • Określ kolektory, do których będą wysyłane Pakiety NetFlow. Możesz skonfigurować maksymalnie pięć kolektorów.
  • kliknij przycisk Dodaj, aby wyświetlić okno dialogowe Dodaj kolektor NetFlow, aby skonfigurować kolektor, i wykonaj następujące kroki:
    • wybierz interfejs, do którego będą wysyłane Pakiety NetFlow z listy rozwijanej.
    • wprowadź adres IP lub nazwę hosta i numer portu UDP w powiązanych polach.
    • kliknij OK
  • gdy NetFlow jest włączony, niektóre komunikaty syslog stają się zbędne. Aby utrzymać wydajność systemu, zalecamy wyłączenie wszystkich nadmiarowych komunikatów syslog, ponieważ te same informacje są eksportowane przez NetFlow. Zaznacz pole wyboru Wyłącz zbędne wiadomości syslog, aby wyłączyć wszystkie zbędne wiadomości syslog.

teraz określ, jaki ruch jest monitorowany i jakie zdarzenia NetFlow są wysyłane do skonfigurowanego kolektora

aby dopasować zdarzenia NetFlow do dowolnego skonfigurowanego kolektora, wykonaj następujące kroki:

Krok 1-wybierz konfigurację > zapora ogniowa > reguły zasad usługi

 utwórz mapę klas NetFlow

Krok 2-aby dodać regułę zasad usługi, wykonaj następujące kroki:

  • Wyróżnij Zasady globalne, jak pokazano powyżej, i kliknij przycisk Dodaj, aby wyświetlić Kreator reguł zasady dodawania usług .
  • kliknij pole wyboru Globalne – dotyczy wszystkich interfejsów, aby zastosować regułę do zasady globalnej. Kliknij Dalej
  • zaznacz pole wyboru dowolny ruch jako kryteria dopasowania ruchu, kliknij Dalej, aby przejść do ekranu działania reguł.
  • kliknij kartę NetFlow na ekranie działania reguł.
  • kliknij przycisk Dodaj, aby wyświetlić okno dialogowe Dodaj zdarzenie przepływu i określić zdarzenia przepływu, a następnie wykonaj następujące kroki:
    • wybierz typ zdarzenia przepływu z listy rozwijanej. Wybierz Wszystko.
    • Wybierz kolektory, do których chcesz wysyłać wydarzenia, zaznaczając odpowiednie pola wyboru w kolumnie Wyślij.
    • kliknij OK, aby zamknąć okno dialogowe Dodaj zdarzenie przepływu i powrócić do karty NetFlow.
    • kliknij przycisk Zakończ, aby zamknąć kreatora.

dlaczego więc Zapora Cisco ASA firewall jest tak doskonałym urządzeniem zapewniającym widoczność NetFlow?

raportowanie Cisco ASA NetFlow zapewnia bezpośredni wgląd w:

  • ogólne raportowanie TopN (Aplikacje, rozmówcy i rozmowy)
  • Top nazwy użytkowników lub aplikacje (oparte tylko na porcie) odmawiane połączenia sieciowe
  • zdarzenia i reguły dostępu (ACL) zostały naruszone najbardziej i przez kogo
  • nazwy użytkowników adresów IP przechodzących przez zaporę sieciową
  • nat (Network Address Translations) kto jest tłumaczony na co?
  • mamy również bezpośrednią integrację z raportowaniem Cisco ASA FirePower.

obecnie monitorowanie zachowań komunikacyjnych, utrzymywanie linii podstawowych i wykrywanie zagrożeń za pomocą NetFlow staje się coraz bardziej istotne. Kiedy specjaliści od bezpieczeństwa muszą cofnąć się w czasie i zobaczyć wzorzec komunikacji, mogą znaleźć przepływy zawierające rozmowy, które chcą zbadać. Jesteśmy liderem w branży, jeśli chodzi o raportowanie NetFlow z przełączników i routerów, a także zdarzenia bezpieczeństwa eksportowane z Cisco ASA.

wiesz jakie rozmowy wchodzą i wychodzą z twojej sieci? Uzyskaj wgląd w ruch sieciowy za pomocą NetFlow wyeksportowanego z Cisco ASA, który jest nieoceniony w monitorowaniu bezpieczeństwa aplikacji i użytkowników.

Scott

Scott zapewnia przedsprzedażowe wsparcie techniczne dla zespołu sprzedaży w Plixer. Scott pochodzi z zaplecza technicznego i ma wieloletnie doświadczenie we wszystkim, od zarządzania kontem Klienta po programowanie systemu. Niektóre z jego zainteresowań obejmują trenowanie programów sportowych dla młodzieży tutaj w Sanford, grę na perkusji i gitarze w lokalnych zespołach dżemowych oraz grę w lokalnych turniejach lawn dart.

Write a Comment

Twój adres e-mail nie zostanie opublikowany.